重要通知:TLS/SSL 憑證鏈更新
因應 Chrome 政策規定 [註1],自 2026 年 5 月 4 日起,TWCA 憑證鏈將更新為 CYBER Root,收到後請務必「安裝新憑證鏈」。
⚠️ 如有以下狀況,務必提早安排:
- 有綁定憑證鏈於 APP 或主機者,可即早佈署新憑證鏈(如下表連結)並安排更新,若無綁定需求者,可待新憑證簽發後再行安裝即可。
- 新的憑證鏈不再支援具有 clientAuth 功能,於緩衝期(2026.05.04~2027.03.01)內有此需求之用戶,請在申請憑證前通知 TWCA。
- 2027.03.01 後仍有 clientAuth 功能需求者,請與 TWCA 洽詢採購 AP 憑證。
Apple 裝置連線告警風險
針對使用 IIS 之站台,由於受微軟政策影響,Apple 裝置用戶 (iOS/macOS) 可能會出現「不信任站台」之警告,解決方式請參閱說明 [註2]。
一、 新憑證鏈結構 (2026.05.04 起)
第 1 層:根憑證 (Root CA)
TWCA Global Root CA
下載
第 2 層:跨認證根憑證 (CYBER Root CA)
TWCA CYBER Root CA
下載
第 3 層:中繼憑證 (Intermediate CA)
TWCA SSL CA
下載
第 4 層:終端憑證 (End Entity)
Server Certificate (您的站台憑證)
由 TWCA 簽發
二、 常見問題 Q&A
如何知道憑證是否具有「用戶端驗證」功能?
開啟憑證後檢查「增強金鑰使用方法」欄位是否具有「用戶端驗證(1.3.6.1.5.5.7.3.2)」,現行 TWCA 所有核發的 TLS 憑證都會具有此功能,而未來依規定 TLS 憑證不得再具有此功能。
為何原憑證會有「用戶端驗證」功能?
未規範前,憑證本身就有支援「用戶端驗證」和「伺服器驗證」;而新規範則要求憑證不得再支援「用戶端驗證」。(有使用此種驗證方式者少之又少,故新規範僅影響少量用戶。)
我有使用「用戶端驗證」功能,且我的憑證仍在有效期內,這用戶端驗證是否仍有效?
是。憑證仍在有效期內的「用戶端驗證」不受影響。
另 2026/5/4 起,若仍有「用戶端驗證」需求者,有兩種選擇:
1. 在憑證申請前告知 TWCA 需要使用用戶端驗證功能,但 2027/03/01 起,必須遵守新規範,則無法再提供。
2. 另行購買 AP 憑證,請與 TWCA 洽詢採購。
另 2026/5/4 起,若仍有「用戶端驗證」需求者,有兩種選擇:
1. 在憑證申請前告知 TWCA 需要使用用戶端驗證功能,但 2027/03/01 起,必須遵守新規範,則無法再提供。
2. 另行購買 AP 憑證,請與 TWCA 洽詢採購。
在 2027/03/01 後,若仍有「用戶端驗證」的需求,該怎麼做?
可來信至 SSLCC@twca.com.tw 洽詢 AP 憑證的採購及申請。
我們系統要求同時具有「用戶端驗證」和「伺服器驗證」,怎麼辦?
2027/03/01 前,在申請時有提出此種需求者仍可簽發具上述兩種功能之憑證,唯建議務必提早更新系統。2027/03/01 之後若仍需「用戶端驗證」功能者,請參考 Q4 回答。
我們網站使用 mTLS 驗證(雙向驗證),是否受影響?
不影響,但要確保用戶端提供的憑證具有「用戶端驗證」功能。